Business Hi-Tech

“Legea Burduja” a securităţii cibernetice, care - conform Asociaţiei pentru Tehnologie şi Internet - acordă noi puteri discreţionare SRI şi introduce amenzi dure punând “cetăţenii şi persoanele juridice sub papucul serviciilor”, a trecut de Parlament după o dezbatere de ochii lumii. Ministrul, pe Facebook: “Misiune îndeplinită”

“Legea Burduja” a securităţii cibernetice, care -...

Autor: Adrian Seceleanu

21.12.2022, 23:19 476

“Legea Burduja” a securităţii şi apărării cibernetice a României, care introduce - conform Asociaţiei pentru Tehnologie şi Internet (APTI) - o extindere puternică a atribuţiilor Serviciului Român de Informaţii (SRI) şi obligaţia pentru persoane fizice şi juridice de a deveni informatori de facto ai autorităţilor în condiţii neclare, dar şi noi amenzi dure pentru firme în zona de cybersecurity - a trecut de Parlament după o simulare de dezbatere, organizată de ochii lumii, în cadrul căreia nu s-a discutat pe îndelete ce impact va avea actul normativ.

<<Aşa cum era de aşteptat, în Senat a trecut legea privind securitatea cibernetică - în doar 2 zile (votul a fost azi). Cu Informatori 2.0 şi SRI cu atribuţii pe "dezinformare">>, a comentat pe reţeaua socială LinkedIn Bogdan Manolea, directorul executiv al APTI, o organizaţie înfiinţată la începutul anilor 2000 şi care a criticat actul normativ încă din faza de proiect, semnalând că acesta a devenit şi mai “periculos” pe durata procesului de consultare legislativă.

Trecerea prin Parlament nu a adus modificări de substanţă, a scris Manolea.

“Rapoartele Comisiilor de ieri au adus schimbări minore pe fond (de ex. au scos sintagma " desfăşoară activităţi cu scop lucrativ şi nelucrativ, de cercetare, dezvoltare, inovare şi producţie în domeniul tehnologia informaţiei şi a comunicaţiilor)". Practic toate problemele pe care le-am identificat iniţial au rămas acolo:

- orice furnizor de "serviciu public sau de interes public" va avea nişte obligatii imense de raportări de securitate în 48 de ore (şi nu numai);

- apare informatorul 2.0 - care la "cererea motivată" a oricăruia din cele 11 organe publice prevăzute în lege ( DNSC, MCID, ANCOM, MApN, MAI, MAE, ORNISS, SRI, SIE, STS şi SPP), trebuie să toarne ceea ce ştie - date şi informaţii privind incidente, ameninţări, riscuri sau vulnerabilităţi. Evident, de la clienţii lor,

- lărgire atribuţii SRI pentru nişte definiţii extrem de largi, inclusiv "campanii de propagandă sau dezinformare", inclusiv derulate de o entitate non-statală. Deci acum chiar are un motiv să ne urmărească pe toţi.

- extindere obligaţii contrar directivelor europene în domeniu şi sancţiuni extrem de mari (nu mai sunt 10%, sunt 3% din cifra de afaceri). Dormi liniştit! Statul veghează pentru tine! O să avem o securitate cibernetică perfectă!”, şi-a încheiat ironic Bogdan Manolea mesajul.

Pe de altă parte, ministrul Sebastian Burduja, a calificat drept o “veste bună” informaţia privind adoptarea legii. Burduja a pus şi un titlu ce pare de inspiraţie militară comentariului său de pe Facebook privind adoptarea legii securităţii - “Misiune îndeplinită” - în ciuda acuzaţiilor dure aduse proiectului pe care l-a girat că “aduce militarizarea şi securismul erei digitale la un nou nivel”, conform APTI.

“MISIUNE ÎNDEPLINITĂ. Două veşti bune din Parlamentul României. (…) Astăzi, un alt jalon (151): legea pentru securitatea şi apărarea cibernetică a României, a fost adoptată în plenul Senatului, for decizional. Prin aceasta stabilim care sunt autorităţile competente în domeniul securităţii cibernetice. O lege absolut esenţială pentru Romania, mai ales în actualul context de securitate.

Ambele sunt reforme complicate, nu doar pentru că sunt asumate în PNRR, ci pentru că setează noi paradigme în domenii cheie pentru prezent şi viitor. Pe de o parte, avem baza legală pentru a moderniza sistemul de cercetare şi inovare. Pe de altă parte, suntem aliniaţi la realităţile unei lumi în care ameninţările cibernetice fac parte din viaţa noastră de zi cu zi.

Tot procesul de redactare a acestor proiecte legislative, avizare şi adoptare în Guvern şi Parlament a fost un maraton extrem, extrem de greu. Ambele au trecut în timp record, cu toţi paşii procedurali, cu îndelungi dezbateri şi discuţii, încă din procesul de avizare interministerială. Le mulţumesc tuturor colegilor care au făcut posibile aceste două reuşite ale ministerului pe care îl conduc şi, mai important, ale României. Înainte, împreună”, a scris ministrul Burduja pe Facebook.

Actul normativ prevede înfiinţarea Sistemului National de Securitate Cibernetică (SNSC) – care este un “cadru general de cooperare care reuneşte autorităţile cu responsabilităţi şi capabilităţi în domeniile de aplicare a legii, în vederea coordonării acţiunilor la nivel naţional pentru asigurarea securităţii cibernetice”.

“Actul normativ se aplică în domeniul securităţii cibernetice pentru:

a) reţelele şi sistemele informatice deţinute, organizate, administrate, utilizate sau aflate în competenţa autorităţilor şi instituţiilor publice din domeniul apărării, ordinii publice, securităţii naţionale, justiţiei, situaţiilor de urgenţă, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat;

b) reţelele şi sistemele informatice deţinute de persoanele fizice şi juridice de drept privat şi utilizate în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale;

c) reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale, altele decât cele prevăzute anterior la lit. a), precum şi de persoane fizice şi juridice care desfăşoară activităţi cu scop lucrativ şi nelucrativ de cercetare, dezvoltare, inovare şi producţie în domeniul tehnologia informaţiei şi a comunicaţiilor sau furnizează servicii publice ori de interes public, altele decât cele de la lit. b).”

"Furnizorii de servicii tehnice de securitate cibernetică au obligaţia de a pune la dispoziţia autorităţilor (...), la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date şi informaţii privind incidente, respectiv în maximum 5 zile de la data primirii solicitării, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic, precum şi interconectarea acestora cu terţii şi cu utilizatorii finali".

Actul normativ impune sancţiuni în cazul nerespectării obligaţiei de notificare a incidentelor de securitate cibernetică. Sunt instituite amenzi de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de şase luni limita maximă este de 200.000 lei.

Pentru operatorii economici cu o cifră de afaceri de peste 1 mil. lei sancţiunea va fi cu amendă în cuantum de până la 1% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de şase luni limita maximă a amenzii este de 3% din cifra de afaceri netă. Iniţial amenda urma să ajungă până la 10% din cifra de afaceri.

 
 


 

 

Pentru alte știri, analize, articole și informații din business în timp real urmărește Ziarul Financiar pe WhatsApp Channels

AFACERI DE LA ZERO